Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Cisco Catalyst SD-WAN Zero-Day CVE-2026-20245 Exploited to Gain Root Access

1 minute de lecture

Mis à jour :

Exploitation active d’une vulnérabilité zero-day sur Cisco Catalyst SD-WAN

Une faille critique identifiée dans Cisco Catalyst SD-WAN a été exploitée en tant que zero-day par un acteur malveillant au moins deux mois avant sa divulgation publique. Cette attaque, visant un fournisseur de services de communication, a permis à l’attaquant d’obtenir un accès root complet en détournant un compte administrateur préalablement compromis.

Points clés :

  • Mode opératoire : L’attaquant a utilisé des techniques anti-forensiques avancées, notamment la modification sélective de fichiers de configuration et la suppression de traces, pour maintenir une persistance furtive.
  • Persistence : La création d’un compte utilisateur caché nommé « troot » et la réinitialisation des mots de passe administrateurs après chaque intrusion ont permis de masquer la compromission aux yeux des équipes de sécurité.
  • Cible privilégiée : L’incident confirme la tendance croissante des attaquants à cibler des équipements réseau de type « edge » qui, contrairement aux terminaux classiques, ne supportent pas nativement les solutions EDR (Endpoint Detection and Response) et manquent de télémétrie approfondie.

Vulnérabilités identifiées :

  • CVE-2026-20245 (Score CVSS : 7.8) : Permet une élévation de privilèges vers un accès root via le téléchargement d’un fichier CSV malveillant, exploitant une validation insuffisante des entrées utilisateur.
  • CVE-2026-20127 & CVE-2026-20182 : Deux failles de contournement d’authentification exploitées lors des phases initiales pour établir des connexions de peering non autorisées.

Recommandations :

  • Mise à jour immédiate : Appliquer les correctifs de sécurité fournis par Cisco pour corriger la faille CVE-2026-20245.
  • Surveillance accrue : Porter une attention particulière aux journaux d’accès pour détecter des changements suspects de privilèges ou la création de comptes utilisateurs inhabituels.
  • Hygiène des accès : Modifier régulièrement les identifiants par défaut et surveiller toute anomalie dans les configurations des systèmes SD-WAN, car les attaquants manipulent ces paramètres pour dissimuler leur présence.
  • Renforcement de la détection : Puisque les équipements réseau offrent une visibilité limitée, il est crucial d’implémenter des outils de monitoring réseau robustes capables de détecter les comportements anormaux au niveau du trafic SD-WAN.

Source

Vous pourriez aimer